Mydoom era un malware potencialmente dañino y poderoso que hasta el momento no ha encontrado un contrincante digno de su reemplazo. Superó por mucho los registros anteriores establecidos por el gusano Sobig. Antes de la llegada de Mydoom, se hacía con el poco honorable título del gusano más rápido de la historia y venció al virus ILoveYou, un gusano escrito en VBScript que afectó aproximadamente 50 millones de computadores provocando pérdidas millonarias. Nada preocupantes si las comparamos con los 59 mil millones de dólares que le costó al mundo Mydoom.
Hacer parte de una de las familias estadounidense de distribución de software para PC más importantes del mundo nunca fue tan arriesgado como hace 18 años. Según los registros emitidos por los medios en la época en la que el gusano inició sus ataques -aproximadamente en enero de 2004- sus víctimas eran los usuarios que poseían computadoras con sistema operativo Microsoft Windows 95 o superior.
Recovery Labs, una compañía de seguridad informática especializada en el desarrollo de aplicaciones y servicios de recuperación de datos informáticos, indicó que el modus operandi del gusano era propagarse por correo electrónico en mensajes con características variables y, en ocasiones, a través del programa de ficheros compartidos KaZaA.
¿Cómo atacaba?
Para ser un programa malicioso, resultó mucho más efectivo que cualquier antivirus o experto que pudiese combatirlo. ¿Quién iba a sospechar de un aparentemente inofensivo mensaje en la bandeja de entrada? Nadie iba a arriesgarse a ignorar, por ejemplo, una advertencia de un correo legítimo rebotado. Si existiese un concurso para la trampa perfecta, sin duda Mydoom tendría que estar entre los finalistas, su sistema de funcionamiento sí que resultó todo un dolor de cabeza durante años.
Una vez el usuario abría el archivo, ya no había marcha atrás. Mydoom ejecutaba un código malicioso que se encargaba de enviar el malware a distintas direcciones de correo electrónico, al tiempo que se camuflaba para no ser detectado, según la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA, por sus siglas en inglés).
Lo anterior en términos sencillos pero, si analizamos al virus informático desde el punto de vista técnico, lo que hacía era crear una copia de sí mismo en C:\Windows\ para después borrar cualquier rastro informático y persistir, incluso, después del reinicio. De esta manera, resultaba casi imposible deshacerse del gusano cibernético.
Una de las características más peligrosas eran sus puertas traseras TCP 3127 a 3198, a través de las cuales cualquier usuario podía acceder de manera remota al equipo infectado. No solo era potencialmente peligroso, sino asombrosamente inteligente. Gran prueba de ello es que contaba con la capacidad de propagarse indefinidamente buscando direcciones electrónicas desde los dispositivos infectados para después autoenviarse y seguir reproduciéndose. Era una pandemia letal y silenciosa.
El terror informático se sembró
El programador o los programadores de Mydoom -nunca se reveló su identidad- fueron ambiciosos en su primer ataque. Por todo o nada decidieron atacar en enero de 2004 a SCO Group, una corporación asociada en sus orígenes a Linux. La página oficial de la compañía estadounidense fue la primera víctima de millones que vendrían después.
Ni siquiera las arduas investigaciones del FBI o la jugosa recompensa de 250.000 dólares que ofreció la compañía cuando, los investigadores de ciberseguridad revelaron que MyDoom estaba programando un ataque de denegación de servicio (DDoS), lograron evitar que el virus hiciese de las suyas.
De acuerdo con el portal multimedia CNET, la solución a corto plazo fue crear una página web alternativa (www.thescogroup.com.) que intentó mitigar los daños ya causados. Sin embargo, la siguiente víctima no tardó en llegar.
A diferencia de SCO Group, Microsoft logró hacer frente de manera magistral al ciberataque de Mydoom el 3 de febrero de 2004. Al parecer el gigante tecnológico se valió de una ardua preparación (pues también sabía que el ataque estaba programado y ofreció una recompensa) y de una meticulosa planificación para sortear un asalto informático que pudo terminar en un desafortunado final.
Variantes
Es preciso resaltar que Mydoom desarrolló dos variantes. La primera descubierta el 26 de enero de 2004 y la segunda, identificada el 28 de febrero de 2004. Según Recovery Labs, la nueva variante constituyó un mayor peligro que la anterior pues estaba “diseñada para impedir que muchos programas antivirus pudiesen actualizarse correctamente”.
Indiscriminadamente y de manera veloz, Mydoom se encargó de sembrar el terror cibernético en muchos territorios del mundo. Desde Estados Unidos hasta Australia e India se vieron azotados por una pandemia que se propagaba sin piedad entre sus ordenadores.
EN